這款由 PC Tools 所屬的免費防護軟體 ThreatFire,定位為 HIPS 的類別,這款軟體有著智慧型的判斷、分析能力,再加上免費(重點!)、可線上更新的多項優點,所以俺從之前就一直在注意 ThreatFire 了,直到最近做了重要版本更新 v3.5.0.21 (04/28/2008),改善了一個十分困擾俺的"大問題",就是對於 UltraVNC 的修復,除了解決這個對俺來說的大 BUG 以外,也稍微更新了的 GUI 介面,以下開始展開簡單介紹:
安裝完後會在右下角出現一個"熱血小火球",發現"可疑程序"時小火球會"熱情的燃燒",點兩下小火球則會出現下面第一張[Security Status]是主要介面視窗,按下上方"Smart Update"便會立即更新:
有顯示世界威脅偵測資訊,點擊如下圖的按鈕可以切換 ON、OFF:
下一張[Start Scan]是手動掃描引擎,按下"紅框線"按鈕便開始掃描,掃描類型也有分為 Basic 和 Full:
掃描完成後會出現下圖,可以選擇處理方式:Quarantine Selected(送到隔離區坐牢關)、Exclude Selected from Future Scans(加入例外排除區)…
接下來是[Threat Control]威脅控制台,有 Allowed(允許程序)、Denied(拒絕程序)、Quarantined(隔離區)、Protection Log(防衛紀錄)…下圖是以 Quarantined 做介紹,下方"紅框線"處對隔離區檔案的操作有:Restore Selected(恢復)、Permanently Delete(永久刪除),點選"籃框線"處會出現該"隔離物件"的詳細內容資料,
如下圖,等待列表出來之後(有點慢…),您便可以依各別檔案做處理,像是"還原"或"刪除"…
接著進入[Advanced Tools]進階工具選項,有 Advanced Rule Settings(進階規則設定)、System Activity Monitor(系統活動監視器)…下圖是 System Activity Monitor,左側 Applications 中的程序可以展開收合…
最後是[Settings]設定,有 General(一般),如下圖一堆小設定,有 Program Language(程式語言),看來會朝多國語系發展吧?目前當然是沒有繁體中文的啦~
下圖是 Quarantine 頁籤,可以設定"系統還原點",這部份似乎需要與 Windows 內建的 Service 配合,俺都是關閉的…哈!
最後一張是 Scheduled Scan 頁籤,設定"定時排程掃描"的功能,如下圖:
ThreatFire 對於我目前使用的心得來說,在發現"可疑程序"時的"即時監控"以及"隔離區處理"時的反應有一點慢~不知道這是不是我電腦的問題…關於 HIPS 簡介可以參考下面的延伸閱讀,使用 ThreatFire 對於我來說可以省掉一些 Rule 的自行建立,交由它來幫我做分析、判斷,提醒我操作決定,甚至也有免費更新的資料庫可以比對,免費就是極品才是王道!另外 ThreatFire 在進階工具中也有提供可"自行建立規則"的功能,有興趣的可以研究看看,不過我就是因為"懶"所以才選上 ThreatFire 的智慧型判斷能力,如果您跟我一樣對於 HIPS 不熟,想入門了解試看看的話~那這玩意兒應該頗適合您的喔!延伸閱讀:
Technorati Tags: HIPS, ThreatFire, Security
《文章列表》
4月 29, 2008
[防護] 免費ThreatFire智慧型監控惡意程序(HIPS)!
訂閱:
張貼留言 (Atom)
採用 
0 意見:
張貼留言